El futuro Esquema Europeo de Certificación de Criterios Comunes

"De barcos, capitanes y un mar embravecido" artículo de Manuel David Serrat Olmos en la seccion "Futuro y Seguridad" de la edición de noviembre de la Revista Mensual Tecnología y Sentido Común TYSC

El Reglamento sobre la Ciberseguridad de 2019 regula, además del funcionamiento de la Agencia Europea para la Ciberseguridad (ENISA), la certificación de la ciberseguridad de las tecnologías de la información y la comunicación, dada la creciente criticidad de las mismas para la sociedad digital.

El Reglamento reconoce que la certificación de la ciberseguridad de los productos, servicios y procesos de TIC se utiliza solo en medida limitada, existiendo principalmente a nivel de los Estados miembros (como sucede, por ejemplo, con el Esquema Nacional de Seguridad español, aprobado por RD 311/2022, de 3 de mayo, o con el Esquema Nacional de Evaluación y Certificación de Seguridad de las Tecnologías de la Información del Centro Criptológico Nacional, previsto en el RD 421/2004) o en el marco de esquemas impulsados por la industria, por lo que un certificado expedido por una autoridad nacional de certificación de la ciberseguridad no necesariamente es reconocido por los demás Estados miembros.

Esto resulta problemático desde la perspectiva del mercado interior de la Unión, especialmente del mercado único digital, porque puede obligar a las empresas a tener que certificar sus productos, servicios y procesos TIC en los distintos Estados miembros en que operen, en particular para participar en procedimientos de contratación nacionales, con el correspondiente aumento de sus costes. Asimismo, los esquemas existentes presentan deficiencias significativas y diferencias en cuanto a cobertura de productos, niveles de garantía, criterios sustantivos y utilización real, lo que crea dificultades a los mecanismos de reconocimiento mutuo dentro de la Unión; algo que ha quedado puesto de manifiesto en las experiencias existentes en orden a la certificación de la seguridad, significativamente el Acuerdo de Reconocimiento Mutuo (ARM) del Grupo de altos funcionarios sobre seguridad de los sistemas de información (SOG-IS), que se utiliza en relación con dispositivos de creación de firma electrónica, como el DNI electrónico, o los tacógrafos digitales, al amparo de normativas sectoriales.

Para resolver esta problemática, el Reglamento establece un marco europeo de certificación de la ciberseguridad que establezca los principales requisitos horizontales para desarrollar esquemas europeos de certificación de la ciberseguridad y permita que los certificados de ciberseguridad europeos y las declaraciones de conformidad de la UE de productos, servicios o procesos de TIC sean reconocidos y usados en todos los Estados miembros.

Los objetivos de este marco europeo de certificación de la ciberseguridad son contribuir a aumentar la confianza en los productos, servicios y procesos de TIC que hayan sido certificados con arreglo a los esquemas europeos de certificación de la ciberseguridad; evitar la multiplicación de los esquemas de certificaciones nacionales de la ciberseguridad contradictorias o redundantes; y reducir los costes para las empresas que operan en el mercado único digital. Asimismo, los esquemas europeos de certificación de la ciberseguridad deben ser no discriminatorios y basarse en normas internacionales o europeas, a menos que dichas normas resulten ineficaces o inadecuadas para alcanzar los objetivos legítimos de la Unión al respecto.

Seguir leyendo…

Es Doctor en Derecho por la Universidad de Murcia. Licenciado en Derecho por la UNED. Auditor de Sistemas de Información certificado, CISA. Director de Seguridad de la Información certificado, CISM. Ingeniero Certificado en Soluciones de Protección de Datos, CDPSE, por ISACA. En la actualidad, es Abogado del Ilustre Colegio de Reus, Asesor de Logalty y Director General de Astrea La Infopista Jurídica SL. Asimismo, colabora con el Grupo de Investigación iDerTec de la Universidad de Murcia. También es miembro del grupo de Infraestructura de Seguridad de Firma Electrónica del Instituto Europeo de Normas de Telecomunicaciones, que normaliza los servicios de confianza, miembro de UNE CTN71/SC307, de CEN-CLC/JTC 19 y de ISO TC 307, relativos a Blockchain.Dispone de más de 100 publicaciones y ha impartido más de 400 ponencias en identidad digital, servicios de confianza y materias relacionadas.

https://www.linkedin.com/in/nachoalamillo

Todo lo que un Directivo debe saber...

Ha llegado la hora de formar a la Alta Dirección

Sesiones Directivas en Directo y en Remoto sobre todos aquellos aspectos que debe conocer la Alta Dirección sobre Gobierno y Gestión Organizacional.

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos. Contiene enlaces a sitios web de terceros con políticas de privacidad ajenas que podrás aceptar o no cuando accedas a ellos. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver
Privacidad